Για online διαρροή εκατομμυρίων κωδικών ασφαλείας των Google, WhatsApp, Facebook και SMS ελέγχου ταυτότητας (γνωστοί και ως “δύο παραγόντων”) προειδοποιούν ειδικοί σε θέματα ασφάλειας, με φόντο και το “μπλακ άουτ” που σημειώθηκε την Τρίτη σε πλατφόρμες της Meta.
Οι ίδιοι απευθύνουν έκκληση να μην χρησιμοποιούνται μηνύματα SMS για κωδικούς ελέγχου ταυτότητας, λόγω της ευπάθειάς τους σε υποκλοπή ή παραβίαση.
Πριν από λίγο καιρό, μάλιστα, ερευνητής ασφαλείας ανακάλυψε μια μη ασφαλή βάση δεδομένων στο διαδίκτυο που περιείχε εκατομμύρια τέτοιους κωδικούς, στους οποίους θα μπορούσε, δυνητικά, να έχει εύκολη πρόσβαση ο κάθε χρήστης.
Πιο συγκεκριμένα, όπως αναφέρει το Forbes, η εσωτερική βάση δεδομένων, την οποία ανακάλυψε ο ερευνητής ασφαλείας Anurag Sen, είχε μείνει απροστάτευτη χωρίς κωδικό πρόσβασης, παρά το γεγονός ότι είχε πρόσβαση στο διαδίκτυο.
Ως εκ τούτου, εκτιμάται ότι οποιοσδήποτε γνώριζε τη διεύθυνση IP της βάσης δεδομένων θα μπορούσε να έχει πρόσβαση σε αυτή χρησιμοποιώντας ένα τυπικό πρόγραμμα περιήγησης στο διαδίκτυο.
Παρόλο που δεν ήταν άμεσα σαφής η προέλευση της εκτεθειμένης βάσης δεδομένων, μετά από επικοινωνία με τους δημοσιογράφους του TechCrunch διαπιστώθηκε ότι ο “ένοχος” ήταν η YX International, μια ασιατική εταιρεία που παρέχει δρομολόγηση γραπτών μηνυμάτων SMS, μεταξύ άλλων υπηρεσιών.
Έχοντας περισσότερα από 5 εκατομμύρια SMS μηνύματα ημερησίως η βάση δεδομένων αποτελούσε μια μεγάλη δεξαμενή πληροφοριών, συμπεριλαμβανομένων συνδέσμων επαναφοράς κωδικών και 2FA κωδικών (“δύο παραγόντων”) για εταιρείες όπως η Google, το WhatsApp, το Facebook, ακόμη και το TikTok.
Το Forbes ήρθε σε επικοινωνία με τις εταιρείες YX International, Google, Meta και TikTok για σχόλια. Όπως αναφέρει, επικοινώνησε με τον ερευνητή που βρήκε τη βάση δεδομένων, τον Anurag Sen, ο οποίος είπε ότι «έπεσε πάνω στη βάση δεδομένων κατά τη διάρκεια ενός ελέγχου ρουτίνας που κάνω».
Σύμφωνα με τον ίδιο, η εκτεθειμένη βάση δεδομένων δείχνει ότι «η μέθοδος αποθήκευσης και επεξεργασίας του 2FA θα πρέπει να είναι πιο ισχυρή και ασφαλής».
Έχουν λόγο ανησυχίας οι χρήστες των Google, WhatsApp και TikTok;
Με αρχεία καταγραφής που χρονολογούνται μέχρι τον Ιούλιο του 2023, η απουσία κωδικού πρόσβασης για την προστασία αυτής της βάσης δεδομένων είναι σοκαριστική, αλλά αποτελεί κίνδυνο για την ασφάλεια;
Από τη σκοπιά των κωδικών 2FA, αναφέρει το Forbes, θα πρέπει πούμε “όχι και τόσο πολύ”. Εξάλλου, οι κωδικοί αυτοί λήγουν πολύ γρήγορα και ένας δυνητικός δράστης θα πρέπει να παρακολουθεί τόσο τις προσθήκες στη βάση δεδομένων όσο και τις ενέργειες ενός στόχου, κάτι που είναι πράγματι απίθανο.
Αυτό σημαίνει ότι δεν πρέπει να χρησιμοποιείτε SMS για τους κωδικούς ασφαλείας 2FA;
Ο Jake Moore, σύμβουλος κυβερνοασφάλειας στην ESET, είπε στο Forbes ότι «οι κωδικοί πρόσβασης μιας χρήσης μέσω SMS είναι πολύ πιο ασφαλής επιλογή από το να βασίζεσαι μόνο σε έναν κωδικό πρόσβασης. Ωστόσο, όταν οι απειλές είναι πλέον πολυεπίπεδες, οι λογαριασμοί χρειάζονται την ισχυρότερη προστασία για να παραμείνουν ασφαλείς».
Αν και οι χρήστες δεν χρειάζεται να ανησυχούν ιδιαίτερα για το γεγονός ότι οι κωδικοί 2FA συμπεριλήφθηκαν στην εν λόγω μη προστατευμένη βάση δεδομένων, αυτό δεν σημαίνει ότι δεν είναι ένα πάθημα που πρέπει να γίνει μάθημα. Αν μη τι άλλο, απλώς δημιουργεί έξτρα βάρος στο επιχείρημα κατά της χρήσης SMS εάν υπάρχουν άλλες διαθέσιμες επιλογές, καθώς δείχνει πώς μπορούν να παραβιαστούν τέτοιοι κωδικοί.
«Τα μηνύματα κειμένου χρησιμοποιούν ξεπερασμένη τεχνολογία και είναι καλή πρακτική να ενημερώνεστε για την πιο πρόσφατη προστασία λογαριασμού που προσφέρεται» καταλήγει ο Moore.
Πηγή: News247.gr
Ακολουθήστε την mixanitouxronou.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Διαβάστε τις σημαντικότερες Ειδήσεις από την Ελλάδα και τον Κόσμο, στη mixanitouxronou.gr